Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out

Promó

H.A.C.K.

Keresés

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Magyar blogok

Magyar oldalak

Külföldi oldalak

Kultúra

Feedek

XML

Archívum

hacker jelvény

Licensz

Creative Commons Licenc

Skype fiók ellopása 4 pofonegyszerű lépésben

2012.11.14. 11:54 | buherator | 10 komment

A Microsoft letiltotta a Skype jelszóhelyreállító funkcióját, miután az alábbi megoldás napvilágot látott:

  1. Regisztrálj egy új Skype hozzáférést az áldozat e-mail címével. Kapsz majd egy figyelmeztetést, de a folyamat mehet tovább gond nélkül.
  2. Lépj be a Skype-ba a frisseb létrehozott hozzáféréssel
  3. Látogasd meg a https://login.skype.com/account/password-reset-request linket, és kérj jelszói helyreállítást az áldozat e-mail címével 
  4. A Skype kliensedben megjelenik a jelszócseréhez szükséges token. Üsd ki az áldozat jelszavát és jelentkezz be a nevében

Egy vállveregetést megérdemelne aki ezt így kitalálta...

Friss: A hibát állítólag már augusztusban jelentették, a javításhoz az kellett, hogy egy orosz fórum nyilvánosságra hozza az exploitot.

Friss2: Tegnap javították a problémát elvileg már a jelszó-helyreállító funkció is elérhető

Facebook Tumblr Tweet Pinterest Tetszik
0

Címkék: skype facepalm

Ajánlott bejegyzések:

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

zséroskenyér 2012.11.14. 13:25:24

az ilyen "mar x honapja jelentve lett, de a gyarto szart ra, ugyhogy tessek itt a sebezhetöseg" -> ra fel napra panikszerüen javitva van - sebezhetösegek szamomra teljesen erthetetlenek. rengeteg ilyen van. azt hiszik, nem fog kiderülni?
Válasz erre 

buherator · http://buhera.blog.hu 2012.11.14. 13:28:32

@zséroskenyér: Azt. Ez user szinten is jellemző egyébként: Kritikus hiba, de nincs elérhető exploit (ld. MS12-20) => nem olyan sürgős a patchelés.
Válasz erre 

conscience 2012.11.14. 14:22:48

Már vártam, mikor teszed ki a cikket :)
Korán reggel egy erről szóló e-mail fogadott az irodában.
A dolog szépségéhez az is hozzátartozik, hogy MS-ék úgy tiltották le a password reset szolgáltatást, hogy erről a felhasználó semmilyen értresítést nem kapott, csupán "a linkre kattintva nem történt semmi".
Azért kíváncsi lennék azoknak az arcára, akiknek épp most sikerült elfelejteni a jelszavukat...
Válasz erre 

elfelejtette 2012.11.14. 16:38:59

"Regisztrálj egy új Skype hozzáférést az áldozat e-mail címével. Kapsz majd egy figyelmeztetést, de a folyamat mehet tovább gond nélkül."

Már itt érthetetlen, miért így van ez kitalálva.
Válasz erre 

neo_21670 2012.11.14. 17:42:03

Jól értem, hogy a Skype accountok emailre nézve nem voltak unique-ok? Tetszőleges számú account létezhetett ugyanazzal az emaillel regisztrálva?
Válasz erre 

buherator · http://buhera.blog.hu 2012.11.14. 18:14:48

@neo_21670: Jól látod, de ez csak a puzzle egyik darabkája, az egész rendszer egy méretes WTF.
Válasz erre 

neo_21670 2012.11.14. 18:39:39

Ilyenkor mindig azon morfondirozok, hogy miert van ekkora katyvasz az egyebkent viszonylag meglepoen jol hasznalhato Skype mogott. (Offline uzenetek, tobb helyrol bejelentkezes support, csoportos beszelgetesek, stb.)
Válasz erre 

törzsmókus 2012.11.14. 22:39:41

én meg azon morfondírozok, miért van ekkora momentuma még mindig ennek a fosnak. mióta normális minőségben működik a google videochatje (mostanában hangout néven fut), bottal sem piszkálom a szkájpot.
Válasz erre 

eax_ 2012.11.15. 18:23:24

@zséroskenyér: Szerintem a valosag valahogy ugy nez ki, hogy a fejlesztocsapatnak van a csoben 9273492 db bejelentes serulekenysegekrol, amelyek vagy igazak, vagy nem, vagy kihasznalhatoak, vagy nem, vagy sulyosak, vagy nem - es hogy ezeket eldontsd, az altalaban a javitassal magaval osszemerheto munkat jelent. Ehhez jonnek meg a "lehetoleg tegnapra kellene"-tipusu business keresek.
Nyilvan a prioritast a business kapja, meg idonkent javitanak a 9273492 db bejelentes alapjan nehanyat, amit epp lehet.
Majd egyszer csak jon valaki, es feldob egy exploitot a 9273492 db potencialis serulekenysegbol 1-re.
Válasz erre 

zséroskenyér 2012.11.16. 16:14:22

@eax_: valoszinüleg igy van - de akarhogy is, abban megegyezhetünk, hogy valami nem kerek a $projekt menedzselesevel.
Válasz erre 
süti beállítások módosítása